de.wedoany.com-Bericht: Das GitHub Open Source Program Office (OSPO) hat mit einer neuen Lizenz-Compliance-Funktion die automatisierte Prüfung tausender interner Abhängigkeiten eingeführt. Die Funktion ermöglicht es Entwicklern, bereits in der Pull-Request-Phase direkt zu überprüfen, ob die Lizenz einer neuen Abhängigkeit den Unternehmensrichtlinien entspricht. Damit wird die Compliance-Prüfung von manuellen oder externen Tool-Prozessen befreit.

Mit der kontinuierlichen Einführung neuer Abhängigkeiten auf der GitHub-Plattform und in internen Projekten wird das Lizenzmanagement zu einem entscheidenden Faktor für die Sicherheit der Software-Lieferkette. Nahezu jede Software ist mit einem Lizenzvertrag versehen, dessen Pflichten von einfachen Namensnennungsanforderungen bis hin zur Verpflichtung zur Offenlegung des gesamten Quellcodes reichen. Für Unternehmen, die Closed-Source-Binäranwendungen verkaufen, ist es wichtig, Abhängigkeiten zu vermeiden, die die Offenlegung proprietären Codes erfordern. Projekte, die Open-Source-Software veröffentlichen möchten, müssen Abhängigkeiten meiden, die durch kommerzielle oder inkompatible Lizenzen eingeschränkt sind. Nichteinhaltung kann zu rechtlichen Auseinandersetzungen und Reputationsverlusten führen.
Traditionelle Lizenzprüfungen basieren oft auf manueller Arbeit oder Drittanbieter-Software. Die von GitHub für Advanced Security-Kunden eingeführte Lizenz-Compliance-Funktion ändert diesen Prozess. Die Funktion wird über Regelwerke aktiviert und scannt bei Pull-Requests, die Abhängigkeiten ändern, automatisch die Lizenzen neuer Abhängigkeiten für bestimmte Repositories. Befindet sich die Lizenz auf einer Positivliste oder liegt eine paketbezogene Ausnahme vor, gilt die Prüfung als bestanden; andernfalls generiert das Tool eine Warnung im Pull-Request. Das Prüfungsteam kann daraufhin entscheiden, ob die Lizenz oder das Paket zugelassen wird, und den Geltungsbereich der Ausnahme festlegen – auf Unternehmens- oder Repository-Ebene.

Vor zwei Monaten migrierte das GitHub OSPO von einem intern entwickelten Compliance-Management-Tool auf diese neue Funktion. Als Early Adopter gab das Team während der öffentlichen Vorschauphase Feedback. In der Anfangsphase legte das OSPO Richtlinien auf Basis einer internen Liste akzeptabler Lizenzen fest und nutzte den „Bewertungsmodus", um Warnungen auszugeben, ohne Merges zu blockieren, damit sich Entwickler an den neuen Prozess gewöhnen konnten. Nach etwa vier Wochen konzentrierten sich die Warnungen hauptsächlich auf Pakete mit Lizenzanomalien, fehlenden oder explizit verbotenen Lizenzen. Das Lizenzstrategie-Team, bestehend aus OSPO-Mitgliedern und Supply-Chain-Analyse-Experten, ist über vier Zeitzonen verteilt, um eine zeitnahe Bearbeitung der Prüfungsanfragen zu gewährleisten. In der Regel wird jede Anfrage innerhalb von ein bis mehreren Stunden bearbeitet. Es wurde ein Notfall-„Broken-Window"-Override-Verfahren eingerichtet: Wenn ein kritischer Fix durch eine Warnung blockiert wird, kann die Lizenzprüfung für dieses Repository durch Ändern eines benutzerdefinierten Attributwerts vorübergehend deaktiviert werden. In der Praxis wurde dieses Notfallverfahren nur einmal genutzt.

Die Funktion unterstützt Platzhalter für Paketausnahmen, z. B. die Freigabe des gesamten @github-ui/*-Namespace, wodurch eine Einzelfallprüfung entfällt. Interne Dokumentation und Schulungen helfen Entwicklern, die Bedeutung der Compliance zu verstehen, und verteilen die Verantwortung für das Compliance-Management auf die tägliche Arbeit der Teams. Die Lizenz-Compliance-Funktion ist nun in der öffentlichen Vorschau verfügbar. GitHub Enterprise Cloud-Kunden können sie in Repositories mit einer aktiven GHAS Code Security-Lizenz nutzen. Weitere Informationen finden Sie in der offiziellen GitHub-Dokumentation.









